Zero-Day-Lücke in Microsofts Internet Explorer entdeckt

Microsoft verteilt außerplanmäßig ein Sicherheitsupdate für den immer noch unterstützten Browser Internet Explorer (IE). Ein Sicherheitsexperte hatte das Leck entdeckt und an die Redmonder gemeldet.

Microsoft schätzt das Risiko der Lücke als "kritisch" ein. Außerdem sei sie bereits von Angreifern ausgenutzt worden, schreibt der Konzern. Deshalb könne man nicht bis zum nächsten planmäßigen Patchday am 8. Januar 2019 warten. Daher verteilt Microsoft bereits jetzt die Sicherheitsupdates für die IE-Versionen 9, 10 und 11 an die Nutzer.

Die Lücke erlaubt Angreifern den Fernzugriff auf das System des Opfers. Verantwortlich hierfür ist ein Fehler in der Scripting Engine, die eine Speicher-Manipulation möglich macht. Über letztere können Angreifer dieselben Zugriffsrechte wie der augenblicklich angemeldete Nutzer erlangen - im schlimmsten Fall also auch vollständigen Systemzugriff als Admin.

In der Praxis könnten Angriffe etwa über speziell gestaltete Webseiten erfolgen, die darauf ausgelegt sind, die Schwachstelle im Internet Explorer auszunutzen. Mittels Spam-Mails werden die Nutzer daraufhin auf die schädliche Webseite gelockt.

Nutzer, die den Internet Explorer noch im Einsatz haben, sollten das Update umgehend herunterladen und installieren. Wie bei Microsoft üblich, wird das Update automatisch an die Nutzer verteilt. Alternativ steht dieses aber auch zum Download über die Webseite der Redmonder bereit.